この記事では、Windows Server オペレーティング システムに展開されている場合の Active Directory 証明書サービスの証明機関の役割サービスについて説明します。
証明機関 (CA) は、ユーザー、コンピューター、および組織の ID を証明する役割を担います。 CA はエンティティを認証し、デジタル署名された証明書を発行してその ID を保証します。 CA は、証明書の管理、取り消し、更新を行うこともできます。
証明機関には、次のようなものがあります。
- エンド ユーザーの ID を保証する組織。
- 組織が証明書を発行および管理するために使用するサーバー。
Active Directory 証明書サービス (AD CS) の証明機関の役割サービスをインストールすると、Windows サーバーを CA として動作するように構成できます。
認証局の種類を理解する
Windows Server は、次の 4 種類の CA をサポートしています。
- エンタープライズ ルート CA。
- エンタープライズ下位 CA。
- スタンドアロン ルート CA。
- スタンドアロンの下位 CA。
エンタープライズおよびスタンドアロンの証明機関
エンタープライズ CA は、Active Directory Domain Services (AD DS) と統合されています。 証明書と証明書失効リスト (CRL) を AD DS に発行します。 エンタープライズ CA は、AD DS に格納されている情報 (ユーザー アカウントやセキュリティ グループなど) を使用して、証明書要求を承認または拒否します。 エンタープライズ CA は証明書テンプレートを使用します。 証明書が発行されると、エンタープライズ CA は証明書テンプレートの情報を使用して、その証明書の種類に適した属性を持つ証明書を生成します。
証明書の自動承認とユーザー証明書の自動登録を有効にする場合は、エンタープライズ CA を使用して証明書を発行します。 これらの機能は、CA インフラストラクチャが Active Directory と統合されている場合にのみ使用できます。 さらに、このプロセスではスマート カード証明書が Active Directory のユーザー アカウントに自動的にマップされる必要があるため、スマート カード サインインを有効にする証明書を発行できるのはエンタープライズ CA だけです。
スタンドアロン CA は AD DS を必要とせず、証明書テンプレートも使用しません。 スタンドアロン CA を使用する場合は、要求された証明書の種類に関するすべての情報を証明書の要求に含める必要があります。 デフォルトでは、スタンドアロン CA に送信されたすべての証明書要求は、CA 管理者が承認するまで保留キューに保持されます。 要求時に証明書を自動的に発行するようにスタンドアロン CA を構成できますが、要求が認証されないため、安全性が低く、推奨されません。
Microsoft 以外のディレクトリ サービスを使用している場合、または AD DS が利用できない場合は、スタンドアロン CA を使用して証明書を発行する必要があります。 組織内では、エンタープライズ証明機関とスタンドアロン証明機関の両方を使用できます。
ルート証明機関と下位証明機関
エンタープライズ CA とスタンドアロン CA は、ルート CA または下位 CA として構成できます。 下位 CA は、さらに中間 CA (ポリシー CA とも呼ばれる) または発行元 CA として構成できます
ルート CA は、すべての証明書チェーンが終了する証明階層の最上位にある CA です。 ルート CA 証明書がクライアント上に存在する場合、ルート CA は無条件に信頼されます。 エンタープライズ CA を使用する場合でも、スタンドアロン CA を使用する場合でも、ルート CA を指定する必要があります。
ルート CA は証明階層の最上位の CA であるため、証明書の Subject フィールドの値は Issuer フィールドと同じになります。 同様に、証明書チェーンは自己署名 CA に到達すると終了するため、すべての自己署名 CA はルート CA です。 CA を信頼されたルート CA として指定するかどうかは、エンタープライズ レベルで決定することも、個々の IT 管理者がローカルで行うこともできます。
ルート CA は、証明機関の信頼モデルの基礎となる基盤として機能します。 サブジェクトの公開鍵が、発行する証明書のサブジェクトフィールドに示されている ID 情報に対応することを保証します。 異なる CA も、異なる標準を使用してこの関係を検証する場合があります。したがって、ルート証明機関のポリシーと手順を理解してから、その機関を信頼して公開キーを確認することを選択することが重要です。
ルート CA は、階層内で最も重要な CA です。 ルート CA が侵害された場合、階層内のすべての CA と、そこから発行されたすべての証明書が侵害されたと見なされます。 ルート CA のセキュリティを最大限に高めるには、ルート CA をネットワークから切断し、下位 CA を使用して他の下位 CA やエンド ユーザーに証明書を発行します。 切断されたルート CA は、オフライン ルート CA とも呼ばれます。
ルート CA ではない CA は、下位と見なされます。 階層内の最初の下位 CA は、ルート CA から CA 証明書を取得します。 この最初の下位 CA は、このキーを使用して、別の下位 CA の整合性を検証する証明書を発行できます。 これらの上位下位 CA は、中間 CA と呼ばれます。 中間 CA はルート CA に従属していますが、1 つ以上の下位 CA に対する上位の証明機関として機能します。
中間 CA は、通常、ポリシーによって区別される証明書のクラスを分離するために使用されるため、ポリシー CA と呼ばれることがよくあります。 たとえば、ポリシーの分離には、CA が提供する保証のレベルや、さまざまなエンド エンティティの母集団を区別するための CA の地理的な位置が含まれます。 ポリシー CA は、オンラインまたはオフラインにすることができます。
認証局の秘密鍵
秘密鍵は CA ID の一部であり、侵害から保護する必要があります。 多くの組織では、ハードウェア セキュリティ モジュール (HSM) を使用して CA 秘密キーを保護しています。 HSM を使用しない場合、秘密キーは CA コンピューターに格納されます。
オフラインの CA は、ネットワークに接続せずに安全な場所に格納する必要があります。 発行元の CA は、証明書の発行時に秘密キーを使用するため、CA の運用中に秘密キーにアクセス (オンライン) できる必要があります。 いずれの場合も、CA と CA 上のその秘密キーは物理的に保護する必要があります。
ハードウェアセキュリティモジュール
ハードウェアセキュリティモジュール (HSM) を使用すると、CA と秘密鍵基盤 (PKI) のセキュリティを強化できます。
HSM は、オペレーティング システムとは別に管理される専用のハードウェア デバイスです。 HSM は、署名と暗号化操作を高速化する専用の暗号化プロセッサに加えて、CA キーの安全なハードウェア ストアを提供します。 オペレーティング システムは CryptoAPI インターフェイスを介して HSM を利用し、HSM は暗号化サービス プロバイダー (CSP) デバイスとして機能します。
通常、HSM は PCI アダプターですが、ネットワーク ベースのアプライアンス、シリアル デバイス、USB デバイスとしても使用できます。 1 つの組織で 2 つ以上の CA を実装する予定の場合は、1 つのネットワーク ベースの HSM をインストールし、複数の CA 間で共有できます。
HSM に保存する必要があるキーを持つ CA を設定する前に、HSM をインストールして設定する必要があります。